niedziela, 22 maja 2022 o 00:20:59 UTC+2 Krzysztof Halasa napisał(a):
> Michał Jankowski <m...@f...edu.pl> writes:
>
> > Natomiast nadal nie wiem, dlaczego kombinacja 'przeglądarka na
> > komputerze' plus 'kod z sms' jest mniej bezpieczna niż 'przeglądarka
> > na komputerze' plus 'aplikacja'.
> Normalnie mogłaby być nieco mniej bezpieczna, SMSy nie były do tego
> projektowane. Można je przechwycić w różnych miejscach, duplikaty SIM
> itd. Ale:
> > Jeśli ktoś ukradnie hasło do www oraz dorobi sobie duplikat karty sim,
> > to nie tylko odbierze smsa, ale bez trudu zainstaluje aplikację na
> > swoim telefonie.
> Z tym, że to jest specyfika danego banku. Ogólnie rzecz biorąc, nie
> powinno być to takie łatwe.

Widziałeś bank, w którym apka wymaga czegoś więcej?
Może być nawet w przeszłości.
Teraz wszędzie, gdzie testowałem, jest logowanie loginem i hasłem oraz przepisanie
SMS.
A potem logujesz się PINem, ew. hasłem (citi, N26).

>
> Oczywiście 100% bezpieczeństwa nigdzie nie ma. Ale tak na moje oko,
> układ z dwoma oddzielnymi urządzeniami (pecet + telefon) jest dość
> bezpieczny. Problem zaczyna się wtedy, gdy to jest to samo urządzenie.

No ale co, ten pecet "do bankowania" to jakiś specjalny musi być, nie może być np.
mój?
Bo telefon jest choć trochę "specjalny" przez kartę SIM - ale to liczy się tylko do
SMSów (ale tylko trochę), apka działa i bez karty SIM.
Jedyna różnica to to, że rzeczywiście trochę trudniej przejąć kontrolę nad dwoma
urządzeniami niż nad jednym - ale tylko trochę, bo atak odbywa się przez jednego
człowieka.

do góry

Dawid Rutkowski <d...@w...pl> writes:

> Widziałeś bank, w którym apka wymaga czegoś więcej?

Nie chodzi o to jak jest, ale jak powinno być. Np. może powinno być
większe rozróżnienie klientów niż tylko korpo - private banking -
zwykły. To w końcu także kwestia ryzyka banku.

> No ale co, ten pecet "do bankowania" to jakiś specjalny musi być, nie
> może być np. mój?

Przy większych kwotach, pewnie tak. Kiedyś to był pecet z modemem,
odpięty od sieci (albo nigdy do niej nie podłączony).

> Jedyna różnica to to, że rzeczywiście trochę trudniej przejąć kontrolę
> nad dwoma urządzeniami niż nad jednym - ale tylko trochę, bo atak
> odbywa się przez jednego człowieka.

To dokładnie niczego nie zmienia. To nie jest tak, że jeśli człowiek
pozwoli, by mu botnet zainfekował komputer, to automatycznie odpali
wszystko na swoim telefonie. Ludzie, którzy mają pieniądze, często mają
też mózgi i rozumieją proste zasady.

Inna sprawa, że bank nie powinien ułatwiać życia złodziejom.
--
Krzysztof Hałasa

do góry

niedziela, 22 maja 2022 o 13:47:55 UTC+2 Krzysztof Halasa napisał(a):
> Dawid Rutkowski writes:
>
> > Widziałeś bank, w którym apka wymaga czegoś więcej?
> Nie chodzi o to jak jest, ale jak powinno być. Np. może powinno być
> większe rozróżnienie klientów niż tylko korpo - private banking -
> zwykły. To w końcu także kwestia ryzyka banku.

No ja jestem bardziej rozróżniony - w santander i mBąku mam status VIP ;>
Ale to daleko do private.
Private miałem tylko taki wannabe, w idea/lion's - uff, i dobrze, że miałem farta, bo
w innych okolicznościach jeszcze bym na tym wtopił...
A z private korzystałeś, że widzisz "rozróżnienie"?
Wg mnie nie ma. ST i apka ta sama.

Ew. w jakimkolwiek sensownym private powinna być możliwość odcięcia wybranych
rachunków od netu.
Jak nie ma to to jest frajer-banking ;>

> > No ale co, ten pecet "do bankowania" to jakiś specjalny musi być, nie
> > może być np. mój?
> Przy większych kwotach, pewnie tak. Kiedyś to był pecet z modemem,
> odpięty od sieci (albo nigdy do niej nie podłączony).

Pani księgowa kiedyś taki miała.

> > Jedyna różnica to to, że rzeczywiście trochę trudniej przejąć kontrolę
> > nad dwoma urządzeniami niż nad jednym - ale tylko trochę, bo atak
> > odbywa się przez jednego człowieka.
> To dokładnie niczego nie zmienia. To nie jest tak, że jeśli człowiek
> pozwoli, by mu botnet zainfekował komputer, to automatycznie odpali
> wszystko na swoim telefonie. Ludzie, którzy mają pieniądze, często mają
> też mózgi i rozumieją proste zasady.

Słyszałeś, żeby bogatego okradli?
Choć znam przypadki trzymania 100k+ na "głównym" RORze z debetówką.
Ale tyle to jest dopiero "niebiedny" ;>

> Inna sprawa, że bank nie powinien ułatwiać życia złodziejom.

Wybiera taki kompromis jaki mu się opłaca (i niekoniecznie optymalizuje to, co nam
się wydaje).

do góry

W dniu 22.05.2022 o 10:25, Dawid Rutkowski pisze:
>>> Jeśli ktoś ukradnie hasło do www oraz dorobi sobie duplikat karty sim,
>>> to nie tylko odbierze smsa, ale bez trudu zainstaluje aplikację na
>>> swoim telefonie.
>> Z tym, że to jest specyfika danego banku. Ogólnie rzecz biorąc, nie
>> powinno być to takie łatwe.
> Widziałeś bank, w którym apka wymaga czegoś więcej?

mBank, którego tak nie lubisz, wymaga albo potwierdzenia w starej
aplikacji że aktywuję nową, albo podania pinu od starej aplikacji (6-8
cyferek oidp).

Millenium można mieć kilka aplikacji, ale tylko w jednej mogą być
autoryzacje. Żeby przenieść autoryzacje, trzeba to potwierdzić w starej
(oddającej) aplikacji.

Czyli nie ma tak prosto, że klon SIM i już hulaj dusza.

--
Alf/red/

do góry

poniedziałek, 23 maja 2022 o 00:21:02 UTC+2 Alf/red/ napisał(a):
> W dniu 22.05.2022 o 10:25, Dawid Rutkowski pisze:
> >>> Jeśli ktoś ukradnie hasło do www oraz dorobi sobie duplikat karty sim,
> >>> to nie tylko odbierze smsa, ale bez trudu zainstaluje aplikację na
> >>> swoim telefonie.
> >> Z tym, że to jest specyfika danego banku. Ogólnie rzecz biorąc, nie
> >> powinno być to takie łatwe.
> > Widziałeś bank, w którym apka wymaga czegoś więcej?
> mBank, którego tak nie lubisz, wymaga albo potwierdzenia w starej
> aplikacji że aktywuję nową, albo podania pinu od starej aplikacji (6-8
> cyferek oidp).
>
> Millenium można mieć kilka aplikacji, ale tylko w jednej mogą być
> autoryzacje. Żeby przenieść autoryzacje, trzeba to potwierdzić w starej
> (oddającej) aplikacji.
>
> Czyli nie ma tak prosto, że klon SIM i już hulaj dusza.

Hmm, ale jak zwykle "ale":
1) Sytuacja, gdy straciłeś "starą" apkę - telefon w kiblu, skradziony, wpadł pod
tramwaj (raczej bez człowieka ;) itp.
Jak wtedy zrobić apkę na nowym tel. (OK, mBąk opcje ma, jeśli nie zapomnisz pinu od
starej)?
2) Multi-apki - są oczywiście banki-buraki, co idą na łatwiznę (95% klientów nawet
nie zauważy) i pozwalają mieć tylko jedną apkę na raz.
A czy z tych, które pozwalają mieć więcej, można gdziekolwiek potwierdzać w więcej
niż jednej na raz?

Ostatnio santanderowa wkurzała - co prawda żona nie używa, ale nagle gdzieś blikiem
zapłacić chciała.
Apka się pluła o aktualizację (autoakt. zawsze wyłączam), ale kod dała.
Tylko potwierdzenia nie chciała wyświetlić.
A przy następnym uruchomieniu trzeba było na nowo aktywować

do góry

W dniu 23.05.2022 o 00:21, Alf/red/ pisze:

> Millenium można mieć kilka aplikacji, ale tylko w jednej mogą być
> autoryzacje. Żeby przenieść autoryzacje, trzeba to potwierdzić w starej
> (oddającej) aplikacji.
>
> Czyli nie ma tak prosto, że klon SIM i już hulaj dusza.
>

MUSI być procedura na zdarzenie "starej aplikacji już nie mam".

MJ

do góry

W dniu 23.05.2022 o 00:21, Alf/red/ pisze:
> W dniu 22.05.2022 o 10:25, Dawid Rutkowski pisze:
>>>> Jeśli ktoś ukradnie hasło do www oraz dorobi sobie duplikat karty sim,
>>>> to nie tylko odbierze smsa, ale bez trudu zainstaluje aplikację na
>>>> swoim telefonie.
>>> Z tym, że to jest specyfika danego banku. Ogólnie rzecz biorąc, nie
>>> powinno być to takie łatwe.
>> Widziałeś bank, w którym apka wymaga czegoś więcej?
>
> mBank, którego tak nie lubisz, wymaga albo potwierdzenia w starej
> aplikacji że aktywuję nową, albo podania pinu od starej aplikacji (6-8
> cyferek oidp).
>

Musi też być procedura na "zapomniałem pin".

MJ

do góry

Michał Jankowski <m...@f...edu.pl> writes:

> MUSI być procedura na zdarzenie "starej aplikacji już nie mam".
> Musi też być procedura na "zapomniałem pin".

Ano. Ale może wymagać fizycznego kontaktu z bankiem. I to nie tylko
w postaci fizycznych fal e-m :-)
--
Krzysztof Hałasa

do góry

On Tue, 24 May 2022 00:33:48 +0200, Krzysztof Halasa wrote:
> Michał Jankowski <m...@f...edu.pl> writes:
>> MUSI być procedura na zdarzenie "starej aplikacji już nie mam".
>> Musi też być procedura na "zapomniałem pin".
>
> Ano. Ale może wymagać fizycznego kontaktu z bankiem. I to nie tylko
> w postaci fizycznych fal e-m :-)

W mbanku raczej nie ma.
Oni jak kiedys nie chcieli wpuszczac klientow na marmury, tak chyba
nadal wszystko chcą załatwic zdalnie.

Citi ... byc moze też, wszak nie maja duzo oddzialow.

w innych bankach róznie moze być.

J.

do góry

On Sunday, May 22, 2022 at 3:57:50 PM UTC+2, Dawid Rutkowski wrote:
> niedziela, 22 maja 2022 o 13:47:55 UTC+2 Krzysztof Halasa napisał(a):

> Słyszałeś, żeby bogatego okradli?
> Choć znam przypadki trzymania 100k+ na "głównym" RORze z debetówką.

To tego nie należy robić??? No to jak wydawać pieniądze?

/s

witrak()

do góry